biztonságkritikus rendszerek architektúrája · ©bme-mit 19. hibadetektálás megvalósítása...
TRANSCRIPT
![Page 1: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/1.jpg)
© BME-MIT Budapesti Műszaki és Gazdaságtudományi Egyetem
Méréstechnika és Információs Rendszerek Tanszék
Biztonságkritikus rendszerek
architektúrája
Rendszertervezés és -integráció előadás
dr. Majzik István
![Page 2: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/2.jpg)
© BME-MIT 15.
Célkitűzés Hibahatások ellenére a veszély elkerülése
Fail-safe működés
Fail-stop működés Fail-operational működés
• A megállás (lekapcsolás) biztonságos állapot
• Detektált hiba esetén le kell állítani a rendszert
• Hibadetektálás a kritikus feladat
• A megállás (lekapcsolás) nem biztonságos állapot
• Detektált hiba esetén is szükséges szolgáltatás
• teljes, vagy • csökkentett (degradált)
• Hibatűrés szükséges
Meghibásodás esetén is biztonságos
működés
![Page 3: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/3.jpg)
© BME-MIT 17.
Jellegzetes megoldások fail-stop működéshez
![Page 4: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/4.jpg)
© BME-MIT 18.
Egycsatornás feldolgozás önellenőrzéssel Egy feldolgozási (végrehajtási) folyamat
Ütemezett hardver öntesztek o Induláskor: Részletes önteszt
o Futás közben: Lappangó állandósult hibák detektálása
o Ajánlott többféle módon
Rendszeres szoftver önellenőrzés o Alkalmazásfüggő hibadetektálás
o Vezérlési folyam, adatfeldolgozás ellenőrzése
Hátrányok: o Hibafedés korlátos:
pedig a SIL teljesítése ettől függ!
o Hibakezelés megvalósítása (pl. lekapcsolás) nem megbízható
![Page 5: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/5.jpg)
© BME-MIT 19.
Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák
o Hihetőség vizsgálat (elfogadható tartományok)
o Időzítések ellenőrzése (túl korán, túl későn …)
o Visszahelyettesítés (inverz függvénnyel)
o Struktúra ellenőrzése (pl. kettős láncolással)
Alkalmazásfüggetlen mechanizmusok (áttekintés) o Hardver támogatású ellenőrzések
• CPU szintű: Illegális utasításkód, user/supervisor mód stb.
• MMU szintű: Memóriatartományok védelme
o OS szintű ellenőrzések • Rendszerhívások érvénytelen paraméterei
• Erőforrások hozzáférésének védelme
![Page 6: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/6.jpg)
© BME-MIT 20.
Példa: Memória tesztelése
Hibátlan cella állapotai: Átmenetek összeragadás tesztjéhez:
Leragadási hibák esetén:
Tranzíciós hiba esetén (w1): Teszt: „Marching” algoritmusok (w/r):
![Page 7: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/7.jpg)
© BME-MIT 21.
Példa: Szoftver utasítás-szekvencia ellenőrzése
Végrehajtási útvonalak ellenőrzése (monitor)
o Referencia: Vezérlési gráf a forráskód alapján
a: for (i=0; i<MAX; i++) {
b: if (i==a) {
c: n=n-i;
} else {
d: m=m-i;
}
e: printf(“%d\n”,n);
}
f: printf(“Ready.”)
Forráskód: Vezérlési gráf:
b
c
d
e
a
f
![Page 8: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/8.jpg)
© BME-MIT 22.
Példa: Szoftver utasítás-szekvencia ellenőrzése
Végrehajtási útvonalak ellenőrzése (monitor)
o Referencia: Vezérlési gráf a forráskód alapján
o Aktuális futás: Jelzőszámok alapján ellenőrizhető
a: S(a); for (i=0; i<MAX; i++) {
b: S(b); if (i==a) {
c: S(c); n=n-i;
} else {
d: S(d); m=m-i;
}
e: S(e); printf(“%d\n”,n);
}
f: S(f); printf(“Ready.”)
Felműszerezett forráskód: Vezérlési gráf (referencia):
b
c
d
e
a
f
![Page 9: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/9.jpg)
© BME-MIT 23.
Példa: SAFEDMI mozdonyvezetői kezelőfelület
EVC
European
Vital
Computer
Mozdony-
vezető
Maintenance Centre
DMI
Safety Integrity Level 2
o Információ megjelenítés
o Parancs feldolgozás
o EVC kommunikáció
Biztonságos vezeték nélküli kommunikáció
o Konfiguráció
o Diagnosztika
o Szoftver frissítés
![Page 10: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/10.jpg)
© BME-MIT 24.
Példa: SAFEDMI hardver architektúra
Fail-stop működés
Reaktív fail-safety (hibadetektálás és -kezelés)
Generikus (COTS) hardver elemek; a hibadetektálás és hibakezelés megvalósítása szoftver alapú megoldásokkal
LCD DISPLAY
SAFE DMI
EXCLUSION LOGIC LCD lamp
Vcc
………
Keyboard
Speaker
ERTMS TRAINBORNE
SYSTEMS
commercial field bus
wireless interface
![Page 11: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/11.jpg)
© BME-MIT 25.
Példa: SAFEDMI hardver architektúra
Komponensek:
LCD
matrix
CPU
ROM RAM
Audio
Controller
Graphic
Controller
Keyboard
Controller
Keyboard
Speaker Video
Pages
Thermometer
Cabin
Identifier
bus
Bus
Controller
Log
Device
Device to
communicate with
EVC
Device to
communicate with
BD
LCD
lamps
Flash
audio
LCD lamps
Controller
Watch
dog
LCD
matrix
CPU
ROM RAM
Audio
Controller
Graphic
Controller
Keyboard
Controller
Keyboard
Speaker Video
Pages
Thermometer
Cabin
Identifier
Cabin
Identifier
bus
Bus
Controller
Log
Device
Device to
communicate with
EVC
Device to
communicate with
BD
LCD
lamps
Flash
audio
LCD lamps
Controller
Watch
dog
![Page 12: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/12.jpg)
© BME-MIT 26.
Példa: SAFEDMI hibakezelés
Alap üzemmódok: o Startup, Normal, Configuration, Safe módok
Hibakezelés: Suspect állapot o Átmeneti állapot
o Hibaszámlálás: Tranziens – állandósult hiba megkülönböztetéséhez
![Page 13: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/13.jpg)
© BME-MIT 27.
Példa: SAFEDMI elindítás utáni öntesztek
CPU öntesztelése: o Külső watchdog áramkör (periodikus életjelek) o Alap funkcionalitás Komplex funkciók
(aritmetikai és logikai egység, utasításdekódolás, regiszter dekódolás, belső buszok megmozgatása)
Memória tesztelése: o „Marching” algoritmusok (leragadás, összeragadás
tesztelése)
Szoftver integritás (EPROM tartalom): o Hibadetektáló kódolás
Perifériák tesztelése: o Operátori (mozdonyvezetői) segítséggel
(pl. hang érzékelés)
![Page 14: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/14.jpg)
© BME-MIT 28.
Példa: SAFEDMI működés közbeni ellenőrzések
Hardver perifériák: o Ütemezett tesztek: Kisebb erőforrásigényűek (CPU, memória, …)
o Adat elfogadhatósági tesztek: I/O műveletek esetén
Kommunikációs és konfigurációs funkciók: o Adat elfogadhatósági tesztek (hihetőségi vizsgálatok)
o Hibadetektáló és hibajavító kódok • Adott hibagyakoriság fölött a kapcsolat bontása
Üzemmód váltások és kezelői bemenetek feldolgozása: o Végrehajtási útvonalak (vezérlési gráf) ellenőrzése
o Időtúllépés (time-out) ellenőrzése
o Megerősített parancskiadás (jóváhagyás szükséges)
Grafikus adatmegjelenítés (bitképek összeállítása): o Duplikált végrehajtás és összehasonlítás
![Page 15: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/15.jpg)
© BME-MIT 29.
Két- vagy többcsatornás feldolgozás komparálással
Két vagy több feldolgozási csatorna o Közös bemenet
o Kimenetek komparálása
o Eltérés esetén leállás
Nagy hibafedés
Komparátor kritikus elem o De egyszerű!
Speciális „komparálás”: o Operátori ellenőrzés
Hátrányok: o Közös eredetű hiba?
o Hosszú lappangási idő =
stop n
![Page 16: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/16.jpg)
© BME-MIT 30.
Példa: Safety microcontroller (itt: TI Hercules)
![Page 17: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/17.jpg)
© BME-MIT 31.
Példa: Egy SCADA rendszer
Supervisory Control and Data Acquisition
A+
I/O
HMI
A-
Érzékelők és beavatkozók
![Page 18: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/18.jpg)
© BME-MIT 32.
Példa: SCADA szoftver architektúra
Két csatorna
A két csatorna által számolt bitmap váltakozó megjelenítése (operátor az összehasonlító; eltérés esetén villogás)
Szinkronizáció: Belső hibadetektálás (mielőtt a kimenetre kerülne)
Syncron
Communication protocol
Input
Database
Control
GUI
Channel 1 Channel 2
Communication protocol
Control
Database
Input Syncron
Pict B
Pict A
I/O
![Page 19: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/19.jpg)
© BME-MIT 33.
Példa: SCADA telepítési opciók
Két csatorna ugyanazon a számítógépen: Közös platform hatásainak kezelése o Statikusan linkelt szoftver modulok o Időben, memóriában és diszken elkülönülő végrehajtás o Diverz adattárolás
• Bináris adatokra (jelek): Inverz adatábrázolás (ponált/negált) • Technológiai adatbázis különböző indexelése
Két csatorna különböző szervereken o Szinkronizáció dedikált
belső hálózaton
Rendelkezésre állás növelése (hibatűrés): o Újraindulás (tranziens hibára) o Kétszer „2-ből 2” séma
A+
I/O
A - B+
I/O
B -
![Page 20: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/20.jpg)
© BME-MIT 34.
Példa: SCADA hibadetektálás összefoglalása
Véletlen hardver hibákra működés közben:
Csatornák komparálása: Operátori illetve I/O o Operátornak: Villogó RGB-BGR szimbólum jelzi a rendszeres
képernyőfrissítést és színhelyességet
Watchdog processz o Többi processz futásának ellenőrzése (rendszeres életjelek vizsgálata)
Az adatbázis tartalmának rendszeres összehasonlítása o Lappangó hibák detektálása
Szándékolatlan vezérlésre, közös hibákra:
Megerősített (háromfázisú) parancskiadás: o Előkészítés (de a beavatkozás zárolva diverz modulokkal)
o Visszaolvasás független modulokon keresztül
o Operátori jóváhagyás (eltérő GUI műveletekkel)
![Page 21: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/21.jpg)
© BME-MIT 35.
Példa: SCADA megerősített parancskiadás
Channel 1
I/O
locking locking
Channel 2
![Page 22: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/22.jpg)
© BME-MIT 36.
Kétcsatornás feldolgozás független ellenőrzéssel
Független csatorna o „Safety bag”: csak
biztonsági ellenőrzés
o Eltérő tervezésű
oMegengedhető, biztonságos viselkedés ellenőrzése
Példa: o Elektra biztosítóberendezés
o Szabályok az elsődleges csatorna működésének ellenőrzésére
stop n
![Page 23: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/23.jpg)
© BME-MIT 37.
Példa: Alcatel (Thales) Elektra
Két csatorna:
Logikai csatorna: CHILL (CCITT High Level Language) eljárás-orientált programnyelv
Biztonsági csatorna: PAMELA (Pattern Matching Expert System Language) szabály-orientált programnyelv
![Page 24: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/24.jpg)
© BME-MIT 40.
Összefoglalás: Architektúrák
Fail-safe működés
Fail-stop működés Fail-operational működés
• A megállás (lekapcsolás) biztonságos állapot
• Detektált hiba esetén le kell állítani a rendszert
• Hibadetektálás a kritikus feladat
• A megállás (lekapcsolás) nem biztonságos állapot
• Detektált hiba esetén is szükséges szolgáltatás
• teljes, vagy • csökkentett (degradált)
• Hibatűrés szükséges
Meghibásodás esetén is biztonságos
működés
![Page 25: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/25.jpg)
© BME-MIT 41.
Összefoglalás: Architektúrák fail-stop működéshez
1. Egycsatornás feldolgozás beépített ellenőrzéssel o Hardver: Bekapcsoláskor önteszt (POST) és
ütemezett öntesztek (BIST)
o Szoftver: Online (ön)ellenőrzés
2. Kétcsatornás feldolgozás komparálással o Replikált feldolgozási csatornák közös bementekkel
(probléma: közös hibák a csatornákban)
o Csatornák kimenetének komparálása
3. Kétcsatornás feldolgozás független ellenőrzéssel o Független, diverz ellenőrző csatorna
o Az elsődleges csatorna kimenetének biztonsági ellenőrzése
stopn
=stopn
![Page 26: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/26.jpg)
© BME-MIT 42.
Jellegzetes megoldások fail-operational működéshez: Hibatűrés
![Page 27: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/27.jpg)
© BME-MIT 43.
Célkitűzés Hibahatások -> veszély elkerülése
Fail-safe működés
Fail-stop működés Fail-operational működés
• A megállás (lekapcsolás) biztonságos állapot
• Detektált hiba esetén le kell állítani a rendszert
• Hibadetektálás a kritikus feladat
• A megállás (lekapcsolás) nem biztonságos állapot
• Detektált hiba esetén is szükséges szolgáltatás
• teljes, vagy • csökkentett (degradált)
• Hibatűrés szükséges
![Page 28: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/28.jpg)
© BME-MIT 46.
Hibatűrő rendszerek Hibatűrés célja: Szolgáltatást nyújtani hiba esetén is
o Leállás helyett autonóm hibakezelés működés közben
o Beavatkozás a hibaok hibajelenség láncba
Alapfeltétel: Redundancia (tartalékolás): Többlet erőforrások a hibás komponensek kiváltására o Hardver
o Szoftver
o Információ
o Idő
Redundancia típusai o Hideg: Normál esetben passzív; lassú átkapcsolás hiba esetén
o Langyos: Normál esetben csökkentett terhelés
o Meleg (forró): Normál esetben aktív; gyors átkapcsolás
Együttes megjelenés is
![Page 29: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/29.jpg)
© BME-MIT 48.
A redundancia típusai Redundancia /
tulajdonság
Hideg tartalék
(passzív
redundancia)
Langyos tartalék
(másodlagos
funkciók)
Meleg tartalék
(aktív
redundancia)
Alapelv Csak hiba esetén
aktiválva
Csökkentett
terheléssel
működik
Ugyanúgy
működik, mint az
elsődleges
Előnye Nem hibásodik
meg a passzív
komponens
Kisebb
meghibásodási
tényezőjű tartalék
Gyorsan átveheti
az elsődleges
helyét
Hátránya Lassan veszi át az
elsődleges helyét
Közepes
sebességű feladat
átvétel
Azonos
meghibásodási
tényező
Példa Kikapcsolt tartalék
számítógép
Naplózó
számítógép belép
elsődlegesként
Árnyék
számítógép
![Page 30: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/30.jpg)
© BME-MIT 49.
Példa: Információ redundancia: Hibajavító kódolás
Hibadetektáló kódolás (EDC): Csak jelezni tudja a hibát
o Paritásbit: Hamming távolság megnövelése, 1 bithiba detektálható
o Ellenőrző összeg: Fájlok, hosszabb üzenetek esetén alkalmazható
Hibajavító kódolás (ECC): Hibahely azonosítás, információ javítás
o Nagyobb Hamming távolság: Javítható hibák
• Pl.: (7,4) bites Hamming kód: 1 bithiba javítható, 1 és 2 bithiba detektálható
o Blokkos információ: Bonyolultabb kódok (pl. Reed-Solomon kódok)
• Pl.: (255, 223) bájtos RS kód: 16 bájthiba javítható
Korlátozott hibajavító képesség
o Információ tárolás: Hosszú idő alatt olyan sok hiba felgyűlhet, hogy a hibajavító kód
nem boldogul vele
o Tárakhoz: Periodikus olvasás és javítva visszaírás (pl. „memory scrubbing”)
Kódoló Átvitel, tárolás
Dekódoló
4 adatbit,
3 redundáns
bit
![Page 31: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/31.jpg)
© BME-MIT 50.
Milyen redundancia használandó?
Hardver tervezési hibák: (< 1%)
o Hardver redundancia, eltérő tervezésű
o Gyakran nem számítanak rá (bevált komponensek)
Hardver állandósult működési hibák: (~ 20%)
o Hardver redundancia (pl. tartalék processzor)
Hardver időleges működési hibák: (~ 70-80%)
o Idő redundancia (pl. utasítás újravégrehajtás)
o Információ redundancia (pl. hibajavító kódok)
o Szoftver redundancia (pl. állapotmentés és helyreállítás)
Szoftver tervezési hibák: (~ 10%)
o Szoftver redundancia, eltérő tervezésű variánsok
![Page 32: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/32.jpg)
© BME-MIT 51.
1. Állandósult hardver hibák kezelése Többszörözés:
Kettőzés: o Komparálással: csak
hibadetektálás!
o Hibatűrés: Diagnosztikai támogatás és átkapcsolás
TMR: Triple-modular redundancy o Hiba maszkolása
többségi szavazással
o Szavazó kritikus elem (de egyszerű)
NMR: N-modular redundancy o Hiba maszkolása többségi szavazással
o Missziós idő túlélése nagyobb esélyű, utána javítás jöhet
o Repülőgép fedélzeti eszközök: 4MR, 5MR
Normál modul
Bemenet Kimenet
Tartalék modul
Átkapcsoló egység
Diagnosztikai egység
Hibajel
1. modul
Bemenet
2. modul
3. modul
Szavazó egység
Kimenet
(Többségi szavazás)
Hibajel
![Page 33: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/33.jpg)
© BME-MIT 52.
A többszörözés megvalósítása Berendezés/számítógép szint:
o Szerverek: Nagy rendelkezésre állású szerver fürtök • Pl. Linux HA Clustering, Windows Server Failover Clustering
o Szoftver támogatás: feladatátvétel (failover)
Kártya szint: o Futásidőbeli átkonfigurálás “hot-swap”
• Pl. compactPCI, HDD, tápegységek
o Szoftver támogatás: monitorozás, konfigurációkezelés
Alkatrész szint: o Alkatrész szintű többszörözés
• TMR
• Önellenőrző áramkörök (kódolt információval dolgoznak)
![Page 34: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/34.jpg)
© BME-MIT 53.
Példa: Hardver redundancia
CPU1 CPU2 ECC MEM
Monitor
Opció:
Kettőzött
busz, paritás
Több processzor
Hibajavító kódolás
RAID konfiguráció
I/O I/O
Kettőzött I/O alrendszer
Monitor-
processzor
D1 D2
PS1 PS2
Kettőzött tápegység
pl. IBM xSeries
![Page 35: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/35.jpg)
© BME-MIT 54.
Példa:
RAID
diszk
egységek
(Redundant
Array of
Independent
Disks)
![Page 36: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/36.jpg)
© BME-MIT 55.
Példa:
RAID
diszk
egységek
(Redundant
Array of
Independent
Disks)
Duplikált
diszkek
Hibajavító
kódolás
Azonosítható
a hibás diszk:
Paritás elég
a javításhoz
Konkurens
hozzáférés a
blokkokhoz
Paritás diszk
sem szűk
kereszt-
metszet
![Page 37: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/37.jpg)
© BME-MIT 56.
2. Időleges hardver hibák kezelése Megközelítés: Szoftver alapú
o Ismételt végrehajtás esetén a hiba nem jelentkezik
o Hibahatások kiküszöbölése a fontos
A hiba kezelhető hibamentes állapot beállításával (és részben ismételt végrehajtással)
Feladatok:
1.) Hibadetektálás
2.) Hibahatás felmérése
3.) Helyreállítás
4.) Meghibásodás (hibaok) kezelése
![Page 38: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/38.jpg)
© BME-MIT 57.
1. fázis: Hibadetektálás Alkalmazásfüggetlen (mechanizmus):
o Illegális utasítások felismerése
o Védelmi szintek, jogosultságok ellenőrzése
o …
Alkalmazásfüggő (ad-hoc): o Időzítés ellenőrzése
o Visszahelyettesítés (algoritmus)
o Hihetőség vizsgálat
o Struktúra ellenőrzés
o Diagnosztikai ellenőrzés
o …
![Page 39: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/39.jpg)
© BME-MIT 58.
2. fázis: Hibahatások felmérése Motiváció: Hibadetektálás késleltetési ideje alatt a hiba
terjedhet a komponensek között
Hibaterjedés behatárolása: Interakciók ellenőrzése
o Bemeneti ellenőrzések elvégzése (pl. hihetőség vizsgálat)
o Kimeneti ellenőrzések elvégzése (legyen „fail-silent”)
Hiba által érintett komponensek meghatározása:
o Naplózás: Erőforrás használat, kommunikáció
o A hibadetektálás késleltetési ideje alatt történt interakciók követése
! hibaok hibadetektálás interakciók
![Page 40: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/40.jpg)
© BME-MIT 59.
3. fázis: Helyreállítás
Előrelépő helyreállítás:
o Hibamentes állapot beállítása szelektív korrekcióval
o A detektált hiba és a hibahatás függvénye
o Előre figyelembe vett hibák esetén
Visszalépő helyreállítás:
o Állapot beállítása korábbi hibamentes állapotra
o Hibától függetlenül megvalósítható
o Állapotmentés és visszaállítás minden komponensre
Kompenzáció:
o Többlet információ alapján a hibahatás kompenzálható
![Page 41: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/41.jpg)
© BME-MIT 60.
A helyreállítás lehetőségei
A rendszer állapotterében: Hibadetektálás
v2
v1 állapotváltozó
s(t)
! hibadetektálás hiba bekövetkezése
![Page 42: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/42.jpg)
© BME-MIT 61.
A helyreállítás lehetőségei
A rendszer állapotterében: Előrelépő helyreállítás
v2
v1 állapotváltozó
s(t)
!
előrelépés
e1
e2
e3
![Page 43: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/43.jpg)
© BME-MIT 62.
A helyreállítás lehetőségei
A rendszer állapotterében: Visszalépő helyreállítás
v2
v1 állapotváltozó
s(t)
!
visszalépés
állapotmentés
![Page 44: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/44.jpg)
© BME-MIT 63.
A helyreállítás lehetőségei
A rendszer állapotterében: Kompenzáció
v2
v1 állapotváltozó
s(t)
!
kompenzáció
![Page 45: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/45.jpg)
© BME-MIT 64.
A helyreállítás lehetőségei
A rendszer állapotterében: A lehetőségek
v2
v1 állapotváltozó
s(t)
!
visszalépés
előrelépés
állapotmentés
e1
e2
e3
kompenzáció
![Page 46: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/46.jpg)
© BME-MIT 65.
Visszalépő helyreállítás Állapotmentés és visszaállítás alapján
o Checkpoint: állapotmentés (időpontja)
o Műveletek: • Állapotmentés: időközönként, üzenetek után; stabil tárba
• Visszaállítás: stabil tárból az operatív memóriába
• Eldobás: adott számú checkpoint megtartása
o Analógia: „autosave”
Műveletek visszavonása alapján o Hiba: téves (szándékolatlan) művelet
o Műveletek naplózása szükséges a visszavonáshoz
o Analógia: „többszintű undo”
Kombinált módszer is lehetséges
![Page 47: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/47.jpg)
© BME-MIT 66.
Visszalépő helyreállítás forgatókönyvei
t
!
t
!
t
!
t
![Page 48: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/48.jpg)
© BME-MIT 67.
Checkpoint tartományok
Optimalizálás szempontjai:
Korlátos tár az állapotmentéshez (hány állapotmentés lehet)
Állapotmentés gyakorisága (mennyi számítást vesztünk el)
Hibadetektálás lappangási ideje (milyen jó a detektálás)
t
a1 b1 c1 a2 b2 c2 ! …
![Page 49: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/49.jpg)
© BME-MIT 78.
4. fázis: A hibaok kezelése
Időleges hibák:
o Előre- vagy visszalépő helyreállítás elég
Állandósult hibák:
Helyreállítás nem lesz sikeres (újra hibadetektálás)
o Hiba lokalizálása
• Diagnosztikai célú tesztelés
o Újrakonfigurálás
• Hibatűrés: Hibás komponens feladatainak teljes átvétele
• Degradált működés: Egyes funkciók fenntartása
• „Graceful degradation”: A kritikus funkciók fenntartása
o Javítás, csere
![Page 50: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/50.jpg)
© BME-MIT 79.
3. Szoftver tervezési hibák kezelése
Ismételt végrehajtás nem segít (állandósult hiba)
Redundáns modulok: Eltérő tervezés szükséges! Variánsok: azonos specifikáció, de
o eltérő algoritmus, adatstruktúrák
o más fejlesztési környezet, programnyelv
o elszigetelt fejlesztés
az azonos hibák bekövetkezésének csökkentésére
Variánsok végrehajtásának technikái:
o N-verziós programozás
o Javító blokkok
![Page 51: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/51.jpg)
© BME-MIT 80.
N-verziós programozás
Aktív statikus redundancia: Minden variáns végrehajtása (párhuzamosan)
o Ugyanazon bemenetek
o Többségi szavazás
• Elfogadható értéktartományt kell megadni a kimenetekre
• Szavazó egyszeres hibapont (SPOF), de egyszerű
Variáns 1
Variáns 2
Variáns 3
Szavazó Kimenet
Hiba- jelzés
Bemenet
![Page 52: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/52.jpg)
© BME-MIT 81.
N-önellenőrző programozás
Aktív dinamikus redundancia:
o N számú önellenőrző komponens
o Hibadetektálás esetén átkapcsolás az elsődlegesről az önellenőrző tartalékra
Variáns 1
Ellenőrző 1
Átkapcsoló Kimenet
Hiba- jelzés
Bemenet
Variáns 2
Ellenőrző 2
![Page 53: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/53.jpg)
© BME-MIT 87.
Javító blokkok
Passzív redundancia: Csak hiba esetén aktiválódik
o Variánsok kimenetének elfogadhatósági ellenőrzése
o Hiba esetén tartalék variáns (soros) végrehajtása
Állapotmentés
Állapot visszaállítás
Variáns végrehajtása
Elfogadhatósági ellenőrzés
Van-e még variáns?
i n n i
Kimenet Hibajelzés
Bemenet
![Page 54: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/54.jpg)
© BME-MIT 88.
Összehasonlítás
Tulajdonság/típus N-verziós prg. Javító blokkok
Ellenőrzés Szavazás, relatív
Elfogadhatóság abszolút
Végrehajtás Párhuzamos Soros
Időigény Leglassabb variáns (vagy time-out)
Hibák számától függő
Redundancia aktiválása
Mindig Csak hiba esetén
Tolerált hibák [(N-1)/2] N-1
Hibakezelés Maszkolás Helyreállítás
![Page 55: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/55.jpg)
© BME-MIT 89.
Hibatűrés tesztelése Meghibásodás (hiba) előidézése: Hibainjektálás
o Hardver: • Hibaok létrehozása:
busz jelek kényszerítése, tápfeszültség tüske, részecske-besugárzás, hőterhelés
• Hardverfüggő, lassú
o Szoftver: • Hibahatás létrehozása (rendszerállapot megváltoztatása):
regiszterek, memóriabitek átállítása (pl. Unix ptrace())
• Rugalmas, gyors
• Hibaokoknak való megfelelés kérdéses
o Hibrid
Hatás monitorozása (működés közben)
![Page 56: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/56.jpg)
© BME-MIT 90.
A hibainjektálás szintjei
90
Radioaktív sugárzás, ioninjektálás,
tápfeszültség zavarása, hőmérséklet
Síneken haladó vagy áramkörök
lábán megjelenő jelek módosítása
Regisztertartalom módosítása,
memóriakép felülírása
Hibaszimuláció a forráskódban
vagy modell szinten a fejlesztőeszközben
Ár,
valósághűség
![Page 57: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/57.jpg)
© BME-MIT 92.
Összefoglalás: Hibatűrés technikái 1. Hardver tervezési hibák
o Diverz redundáns hardver komponensek
2. Állandósult hardver működési hibák o Hardver redundancia: többszörözés
3. Időleges hardver működési hibák o Szoftver redundancia
1. Hibadetektálás 2. Hibahatás felmérés 3. Helyreállítás: előrelépő vagy visszalépő 4. Hibaok kezelése
o Információ redundancia: Hibajavító kódolás o Idő redundancia: Ismétlés
4. Szoftver tervezési hibák o Diverz redundáns szoftver komponensek (NVP, RB)
![Page 58: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/58.jpg)
© BME-MIT 93.
Szabvány szerinti módszerek
IEC 61508: Functional safety in electrical / electronic / programmable electronic safety-related systems
Szoftver architektúra tervezés
![Page 59: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/59.jpg)
© BME-MIT 94.
Az időigény összefoglalása
Tiszta idő redundancia: Újrapróbálás (retry)
o Alacsony hardver szinten: processzor (mikro)utasítás
o Magasabb szinten: funkció, taszk ismételt végrehajtás
o Időleges hibák esetén hatásos
Idő overhead “velejárója” a többi típusnak
o Hard RT rendszerek: tervezési szempont, hogy mennyire garantálható a hibakezelés ideje
o Preferált megoldások:
• Állandósult hardver hibák: maszkolás, meleg tartalék
• Időleges hardver hibák: előrelépő helyreállítás
• Szoftver tervezési hibák: N-verziós programozás
![Page 60: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/60.jpg)
© BME-MIT 95.
Az időigény áttekintése „Térbeli” redundancia (%)
Időbeli redundancia (s) 0.01 0,1 1 10
TMR
100
10
N-verziós programozás
Hibajavító kódolás
Újrapróbálás Újratöltés Újraindítás
Visszalépő helyreállítás
Javító blokkok
Elosztott állapotmentés és helyreállítás
Előrelépő helyreállítás
![Page 61: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/61.jpg)
© BME-MIT 96.
Költségoptimalizálás
üzemeltetési költség
kialakítási költség
eredő
hibatűrésmértéke
hibatűrésköltsége
optimum
![Page 62: Biztonságkritikus rendszerek architektúrája · ©BME-MIT 19. Hibadetektálás megvalósítása Alkalmazásfüggő (ad-hoc) technikák oHihetőség vizsgálat (elfogadható tartományok)](https://reader030.vdocuments.mx/reader030/viewer/2022040223/5e5662c8da00562dfb08789a/html5/thumbnails/62.jpg)
© BME-MIT 97.
Összefoglalás: Architektúra tervezés Fail-stop megoldások
o Egycsatornás feldolgozás önteszttel o Kétcsatornás feldolgozás komparálással o Kétcsatornás feldolgozás független ellenőrzéssel
Fail-operational (hibatűrő) megoldások o Hardver tervezési hibák: Diverz redundáns hardver
komponensek o Állandósult hardver működési hibák: Többszörözött hardver
komponensek o Időleges hardver működési hibák:
• Szoftver redundancia: Hibadetektálás és helyreállítás • Információ redundancia: Hibajavító kódolás • Idő redundancia: Végrehajtás ismétlése
o Szoftver tervezési hibák: Diverz redundáns szoftver komponensek (NVP, RB)